Bit - loader

Local Administrator Password Solution (LAPS) – Parte 2


Netmind - Local Administrator Password Solution  (LAPS) – Parte 2    Artículo | Cloud and Systems
Joan Carles Roca | 28/12/17

En esta segunda parte de Local Administrator Password Solution, os explicaremos el funcionamiento de LAPS y su configuración.

 

Cómo funciona LAPS

El ciclo de funcionamiento de LAPS  tiene lugar cada vez que se refresca una directiva de grupo.

 

Los pasos son los siguientes:

 

  1. LAPS determina si el password de un administrador local ha expirado.
  2. Si el password no ha expirado, LAPS no realiza ninguna acción.
  3. Si el password ha expirado, se llevan a cabo las siguientes acciones:

 

  • Se cambia el password del administrador local con un valor aleatorio basado en los parámetros configurados en la directiva de grupo
  • Se transmite el password a AD DS, donde se almacena en un atributo confidencial, asociado a la cuenta de equipo que acaba de actualizar el password del administrador local.
  • Se transmite la nueva fecha de expiración del password a AD DS, donde se almacena en un atributo confidencial asociado a la cuenta de equipo del equipo que acaba de actualizar el password del administrador local.

 

El password puede ser leído en el directorio activo por usuarios autorizados. Así como también es posible, siempre para usuarios autorizados forzar un cambio de contraseña del administrador local de un equipo concreto.

 

 

Configuración de LAPS

La configuración consiste en un número de pasos, el primero de los cuales tiene que ver con el directorio activo.

 

Una de las prácticas habituales es configurar una unidad organizativa, o elegir una existente que incluya todos los equipos para los cuales queremos gestionar los passwords de los administradores locales y conceder a dichos equipos la capacidad de actualizar el password del administrador local cuando expire.

 

En el siguiente ejemplo usaremos una OU llamada BCN_computers con un equipo Server 2 a modo de ejemplo

 

Local Administrator Password Solution  (LAPS) – Parte 2 0

 

 

Acto seguido instalamos LAPS en el controlador de dominio. En este caso elegimos todos los componentes.

 

Como podemos ver, comprenden las extensiones CSE para GPO, el cual deberá ser instalado en cada equipo administrado, y las Management Tools, que deben ser instaladas en los equipos desde los cuales se quiere administrar. Los subcomponentes son el cliente gráfico, el módulo de PowerShell y las plantillas ADMX para las GPO.

 

Local Administrator Password Solution  (LAPS) – Parte 2 1

 

 

Una vez instalado, ejecutamos una sesión de PowerShell como administradores y procedemos primero a importar el módulo de PowerShell para LAPS con el comando

 

Import-Module admpwd.ps

 

Ahora ya podemos extender el esquema del directorio activo con el comando de PowerShell

 

Update-AdmPwdADSchema

 

Local Administrator Password Solution  (LAPS) – Parte 2 2

 

 

Finalmente estamos en condiciones de delegar el permiso para cambiar el password del administrador local a los equipos en la unidad organizativa del ejemplo. Para ello empleamos el siguiente comando de PowerShell.

 

Set-AdmPwdComputerSelfPermission –Identity “nombre de la ou”

 

Local Administrator Password Solution  (LAPS) – Parte 2 3

 

En el siguiente artículo continuaremos con la configuración de la GPO de LAPS y explicando como configurar privilegios para acceder a los passwords almacenados en el directorio activo por parte de LAPS.

 

 


Joan Carles Roca


Entradas relacionadas
Nuestro sitio utiliza cookies para análisis. Si no estás seguro de ello, echa un vistazo a nuestra política de privacidad.